WordPress 4.2.4 schließt sechs Sicherheitslücken

Die WordPress-Entwickler haben Version 4.2.4 ihres Content-Management-Systems zum Download bereitgestellt. Es handelt sich dabei um ein Security-Update, neue Funktionen bringt es nicht mit. Da es jedoch sechs, teilweise gravierende Sicherheitslücken schließt, empfehlen die Entwickler Nutzern, die Aktualisierung umgehend einzuspielen.

WordPress 4.2.4 schließt insgesamt sechs Sicherheitslücken. Davon erlaubt eine Angreifern unter Umständen, eine Website per SQL-Injection erfolgreich anzugreifen. Diese Lücke wird unter der Kennung CVE-2015-2213 geführt. Insgesamt drei der Schwachstellen ermöglichen Attacken per Cross-Site-Scripting. Angreifer könnten sich darüber Zugang verschaffen und gegebenenfalls die Website manipulieren.

Die Lücken wurden von Marc-Alexandre Montpas vom Sicherheitsunternehmen Sucuri, Check-Point-Mitarbeiter Netanel Rubin, Johannes Schmitt von Scrutinizer sowie Ivan Grigorov und Mohamed A. Baset entdeckt und im Rahmen des entsprechenden Programms an WordPress gemeldet. Eine entdeckte zudem Helen Hou-Sandí vom WordPress Security Team.

Wer die automatische Update-Funktion aktiviert hat, erhält WordPress 4.2.4 ohne weiteres Zutun über die Update-Server von WordPress. Damit werden dann auch die vier Bugs der Vorgängerversion behoben. Details dazu finden sich in den Release Notes

Die Entwickler haben außerdem darauf hingewiesen, dass seit 29. Juli der Release Candidate von WordPress 4.3 zum Download https://wordpress.org/wordpress-4.3-RC2.zip bereit steht. Er bringt gegenüber der eine Woche zuvor zur Verfügung gestellten Beta noch einmal gut 100 funktionale Verbesserungen.

Download:

• WordPress 4.2.4